監修:ダイワボウ情報システム株式会社
[STEP 6]DEPとVPPをMDMへ紐付けよう
MDMで運用の手間を削減
アップルデバイスを導入した場合、導入後に管理者をもっとも悩ませるのが日々の運用管理です。新たにデバイスを追加するときや、「全iPadのWi│Fi設定を変えたい」「ある部署のiPadにだけこのアプリを入れたい」「なくしたiPadのデータを削除したい、画面をロックして解除できなくしたい」といったときなど、ユーザの手に渡ったデバイスを遠隔地からワイヤレスで効率的に管理するためのソリューションがMDMです。
MDMはアップルが提供しているサービスではなく、サードパーティ各社が提供しています。サービスによっていくつかの機能やサポート内容が異なりますが、基本となるのは次の機能です。「端末の情報(端末IDやOSのバージョン、セキュリティポリシーの適用状況など)を収集」「デバイスの導入/追加時の初期設定(構成プロファイルの作成)」「管理中のデバイスへの構成プロファイルの一斉適用」「管理中のデバイスへのアプリインストール」「管理中のデバイスのリモートワイプ機能、ロック機能」などです。一般的なMDMではこうした基本機能は共通であり、導入することで組織内でデバイス運用の手間を大幅に削減することができます。
なお、MDMに登録した端末のMDM構成プロファイルはユーザによって削除することができてしまいますが、DEPに登録した端末であればMDM構成プロファイルの削除はできなくなります。
MDMで一般的にできること
構成プロファイルの配信
iPadの各種設定を遠隔で適用できます。ここでは各機能の使用制限を行い、構成プロファイルとして管理中のiPadに配信できるようにします。
リモートワイプ画面
管理中のiPadのデータを削除できます。こうした作業は紛失時などに行うことが前提ですから、iPadを直接Macに接続して行えない作業の1つです。
iPadの管理
AirWatchにはiPad向けに管理用のアプリが用意されており、ちょっとした管理作業から複雑な作業まで活躍してくれます。
DEPとVPPの紐付け
DEPに登録した端末をMDMへ紐付ける方法は、MDMによって異なります。しかし、基本的にはDEPの管理画面にアクセスしてMDMサーバを登録、その後MDMサーバ側で発行したパブリックキーを登録して紐付けを行います。
同様に、VPPとMDMを連係させる作業も必要となります。VPPで購入したアプリはVPPストア上で確認でき、「VPPトークン」という管理用ファイルをダウンロードしてMDM管理画面に登録しておくことで、MDMサーバ側で管理しているデバイスにアプリライセンスを割り当てていくことができます。
ともにMDM側がDEPとVPPに対応しているかどうかを確認しましょう。なお、下では「エアウォッチ(AirWatch)」を例に説明しています。
DEPとMDMの紐付け手順
(1)サーバの管理
DEPで購入したデバイスをMDMとリンクさせるには、DEPの管理画面にアクセスし、メニューから[サーバの管理]をクリック。登録されているMDMサーバを一覧から選ぶか、新たにMDMサーバを追加するときは、[MDMサーバを追加]をクリックします。
(2)サーバ名を設定
「MDMサーバ名」を設定します。この名称はDEPの画面で表示されるものです。[新規デバイスを自動的に割り当てる]にチェックを入れると、今後購入したデバイスが、このMDMに割り当てられます。
(3)パブリックキー
新規登録するMDMサーバ「test」にパブリックキーをアップロードします。このパブリックキーは、利用しているMDMから発行、ダウンロードができます。アップロードし、[次へ]をクリックすれば登録が終わります。
(4)MDMの削除
使用しなくなったMDMサーバは、DEPから削除も可能です。
(5)デバイス登録
DEPを通じて購入済のデバイスをMDMに登録するには、DEPのメニューからデバイスの管理に進みます。注文番号やシリアル番号で検索し、表示された未登録のデバイスを確認します。
(6)デバイスの確認
MDM上では、購入したデバイスで、すでにMDMに登録しているデバイスが一覧表示できます。まだMDMに未登録のデバイスが確認できます。
VPPとMDMの紐付け
構成プロファイルの配信
VPPで購入したアプリをMDM経由で配信するには、VPPの購入時に「管理配付」を選びます。MDM側でVPPと連係設定を行っておけばMDMに表示され、デバイスへ配信、インストールを行えます。
デバイスを「監視モード」に設定しよう
組織内でAppleデバイスを管理するうえで大切なのが、「監視モード」について知っておくことです。監視モードとは、iOSデバイスをより強力にMDMの管理下に置くことができる機能で、別名「スーパーバイズモード(Supervised mode)」ともいわれます。
監視モードにデバイスを設定すると、通常は不可能なAirDrop機能の使用制御、iMessageやiBooks、Game Centerアプリの削除、ユーザによるデバイスの初期化、アプリケーションの自動インストール制限などが、MDM経由で行えるようになります。また、端末を監視モードに設定していればアプリのインストールをユーザの許可なしに行える「サイレントインストール」も可能です。より運用を強力にしたい場合は、ぜひとも設定しておきたいところです。
●監視モードでできること
●AirDrop機能の使用を制限
●iMessage、iBooks Store、Game Centerアプリを削除
●ユーザによるiOS端末のアプリを削除を制御
●iTunesからアプリのインストールを許可
●アプリの自動インストール制限
●デバイス名の変更を許可
●パスコードの変更を許可
●Touch ID指紋の変更を許可
●機能制限の変更を許可
MDMで構成プロファイルやアプリを配信するときに、非監視モードのiPadに対してはサイレントインストールができず、iPadの画面にはユーザに登録を尋ねるダイアログが表示されますので、キャンセルされてしまう場合もあります。MDMで構成プロファイルやアプリを配信するときに、非監視モードのiPadに対してはサイレントインストールができず、iPadの画面にはユーザに登録を尋ねるダイアログが表示されますので、キャンセルされてしまう場合もあります。
iOSデバイスを「監視モード」にするには、Apple Configurator 2(AC2)を利用する必要があります。AC2が動作しているMacにiOSデバイスを有線で接続し、監視モードの設定を行うと端末が一度初期化されて監視モード状態となります。また、DEPに登録した端末はデフォルト状態で「監視モード」に設定されています。AC2で監視モードに設定したデバイスは、盗難などにあったときに初期化されてしまうと非監視モードとなってしまいます。DEPでの監視モードであれば、初期化しても再アクティベーション時に監視モードとなるので安心です。組織にデバイスを大量導入するのであれば、迷わずDEPに参加してデバイスを購入し、各デバイスを監視モードにした状態で、MDMを利用した管理運用を行うことが最善といえます。
なお、監視モードかそうでないかを確認するには各デバイス上を見るか、MDM上のデバイス情報を見ることで判別することができます。
●MDMで監視モードを確認
デバイスが監視モードになっているかどうかはMDMで確認できます。DEPで購入したデバイスはMDM経由で監視モードに、DEPで購入していないデバイスはあらかじめAC2で監視モードに設定しておく必要があります。
[STEP 7]VPPでアプリを一括で購入してみよう
製品引換コードか管理配布か
VPP登録後、企業の場合は企業向けのVPPストアから、教育機関の場合はASMを通して教育機関向けのVPPストアからアプリを購入できます。購入はアプリを検索して数量を入力、配付方式([製品引換コード]、または[管理配布])を選ぶだけ。教育機関の場合は開発元が許可しているアプリに関しては20個以上購入した際に50%の割引が適用されます。
配付方式に関しては[製品引換コード]で購入した場合は、購入した数量のコードが発行されます。管理者はそれをユーザに送信し、ユーザはコードを使用してアップストアからアプリを受け取ります。この場合、ユーザのアップルIDにアプリのライセンスが帰属しますので、一度コードを使用してしまうとライセンスの割り当ては変更できません。
一方、[管理配布]は、MDMを通してアプリを配付する方法です。アプリを受け取るとそのユーザのアップルIDやデバイス自体に一時的に紐付けられますが、アプリのライセンスはVPP専用のアップルIDに帰属しているのでライセンスを回収、再配付できます。
VPPを使ったアプリ購入の流れ
(1)コンテンツを検索(企業)
VPPの画面から上部の検索フォームにアプリ名や電子書籍名などを入力して検索します。検索結果から、購入したいコンテンツをクリックします。
(2)数量を指定
必要な数量を入力し、[管理配布]か[製品引換コード]かを選択して金額を確認したら[注文の確認]をクリックして決済を行います。
(1)コンテンツを検索(教育機関)
教育機関で利用する場合は、ASMから購入します。画面左の[Appとブック]から[Appとブックを一括購入]を選びます。
(2)数量を指定
数量を指定して、配付方式を選択して注文を行います。
●アプリの購入数に注意
ASMのVPPでアプリを購入する場合の画面です。数量19個では金額は「11,400円」となっています。数量を20個にするとADPのVPPでは「12,000円」となるはずですが、ASMのVPPでは図のように「6,000円」と半額になります。ASMのVPPでアプリなどを購入する際は、20個以上購入したほうがお得になる場合がありますので、数量を決めるときには忘れずに計算しておきましょう。
●MDMでの管理配布
VPPでの購入時に[管理配布]を選択していれば、MDM上で購入済のアプリが確認できます。ここから各デバイスに対して遠隔でのインストールを行えます。
[STEP 8]DEP登録した端末を配備してみよう
初期設定と同時に自動適用
DEPでMDMサーバに割り当てられたデバイスのセットアップは、通常のiOSデバイスと同じように行います。デバイスがWi│Fiに接続された状態でデバイスの電源を入れると、アクティベーションされる際に、DEPによって割り当てられたMDMサーバの情報とMDMへの登録が自動的に行われ、MDMサーバで設定された構成プロファイルがデバイスに自動で適用されます。デバイスのアクティベーションが行われるとき、管理者の手元にデバイスがなくても構いません。
●DEPの仕組み
DEP対象として購入したデバイスの電源を入れ、初期設定(言語、国などの基本設定を行い、自社のセキュアなWi-Fiと接続する)をしたら、あとは放置しておけば数分でMDMへの登録と構成プロファイルの適用が行われます。
DEPデバイスのセットアップ手順
(1)選択言語の選択
「こんにちは」と表示されたあとに、デバイスで使用する言語を選択します。
(2)国または地域を選択
デバイスを使用する国または地域を選択します。
(3)キーボードの選択
デバイスで使用するキーボードの入力方式を選択します。
(4)Wi-Fiネットワークの選択
Wi-Fiネットワークを選択します。
(5)アクティベート
デバイスのアクティベーションが行われます。このときDEPで割り当てたMDMサーバの情報が端末に送られます。
(6)iPadの構成
MDMサーバへデバイスが自動的に登録されます。MDMで設定したプロファイルでデバイスが構成されます。[構成について]をタップするとDEP を使いデバイスを構成する組織の情報が表示されます。
(7)True Toneディスプレイの設定
True Toneディスプレイの設定を行います。True Toneなしに設定することも可能です。
(8)セットアップ終了
「ようこそiPadへ」という画面が出たらセットアップは終了です。デバイスはMDM管理下に置かれた状態で起動します。
過去に購入したデバイスはDEPに追加できる!?
DEPに登録するためには端末は2011年3月1日以降に購入したMac、iPhone、iPad、Apple TVに限られ、DEPプログラムに参加している事業者から端末を購入する必要があるとされてきました。つまり、DEPプログラム開始前に購入したデバイスはDEPへ登録することができなかったのです。
しかし、2017年6月のWWDC(世界開発者会議)のセッションビデオにおいて、AppleはこうしたデバイスでもDEPに登録できるようになるとの発表を行いました。端末の仕様や購入者番号の管理などの詳細は明らかにされていませんが、これによりDEP非登録のデバイスが混在していた組織では管理が容易になります。
●DEPへ登録できるデバイスの条件(2017年8月9日時点)
●2011年3月1日以降に購入したMac、iPhone、iPad、Apple TV (第4世代)
●DEPプログラムに参加しているApple製品取扱店または通信事業者から購入した上記デバイス
●iOS 7以降を搭載し、MacはOS X Mavericks 10.9以降を搭載、Apple TV (第4世代) はtvOS 10.2以降
[STEP 9]ASMのポータルの設定項目を確認! クラスや児童・生徒を登録してみよう
デバイスごとにユーザ管理
ASMのポータルサイトからログインすることで教育機関向けの各種機能を利用できます。ポータルサイト画面左にメニューが並び、項目を選んで設定していくという非常にわかりやすいインターフェイスになっています。
その中で最初に設定すべきなのは[場所]で、拠点ごとに学校名を追加できます。[ユーザ]からは管理端末を利用しているユーザを登録でき、児童・生徒の氏名のほか、マネージドアップルIDの設定やメールアドレス、ユーザIDなども入力可能です。ここからユーザの[場所]を指定することで、サイドメニューの[場所]で分類できます。同様に[クラス]では何年何組といったような分類が可能です。また、[役割]では登録したユーザが児童・生徒なのか教職員なのかを設定可能。教職員に関してはアプリの購入やクラスの作成・編集・削除を可能とするかなどの詳細を設定できます。
このように、ASMでは教育機関でアップル製品を利活用する際に難しかったデバイスに紐付いたユーザ管理を行うことができ、VPPやMDMの設定と合わせて一元管理できるソリューションとなっています。
●ASMの利用イメージ
Apple School Managerは、MDMと連係して教育機関におけるデバイス活用を促進します。Classroomアプリと連動することで児童・生徒用iPadを監視・制限できたり、共有iPad機能を用いることが可能です。
●VPPとMDMの設定
[コンテンツ]メニューからは、アプリや電子書籍を一括購入できます。[Appとブックを一括購入]をクリックするとVPPストアへジャンプします。
[デバイス]メニューからは、利用するMDMサービスを登録したり、それぞれのデバイスをMDMサーバに割り当てたりといった操作が可能です。
ASMでできること
(1)場所
[場所]では、学校の拠点ごとに学校名を登録することができます。
(2)アカウント
[アカウント]では、教職員や児童・生徒の情報を登録することができます。ここからManaged Apple IDや[場所]の指定が可能です。
(3)クラス
[クラス]では学年やクラスを登録します。登録している児童・生徒や教職員を表示できるほか、クラスの詳細を記入できます。
(4)役割
登録したユーザの役割(教職員なのか児童・生徒なのか)といった情報は[役割]で設定します。
(5)組織の詳細を追加設定
画面左下にある[設定]メニューから各種登録情報を参照できます。DEPに関しては、[デバイス購入]から[追加]を選ぶことでAppleお客様番号、もしくは販売代理店番号を入力することでDEP端末を登録できます。
[STEP 10]「クラスルーム」アプリと共有iPadを使ってみよう
児童・生徒との関係がより密に
クラスルーム(Classroom)は、アップルが提供しているiPad用アプリで、アップストアから無料でインストールできます。このアプリは教員用と児童・生徒用のiPadにそれぞれインストールし、教員用iPadの設定を行うことで使い始めることができます。
●Classroomアプリ
【開発】Apple
【価格】無料
【場所】App Store>教育(iPad専用アプリ)
●Classroomアプリの使用条件
インフラストラクチャ
●児童・生徒用と教師用の両方のデバイスで有効なBluetoothおよびWi-Fi
●ポート3283および3284が開いている(書類の共有に使用)
●教員および児童・生徒アカウントで構成されるクラスが 1 つ以上MDMソリューション内に設定されている
●iPadグループを持つクラスが1つ以上MDMソリューション内に設定されている(任意)
iPad(教員用)
●iPad(第4世代以降)、iPad mini 2以降、iOS 10.3以降
iPad(児童・生徒用)
●共有iPadの要件:12.9インチiPad Pro、9.7インチ iPad Pro、iPad Air 第2世代以降(容量32GB以上)、iPad mini(第 4 世代以降、32GB以上の容量)、iOS 10.3以降
●1人1台の要件:iPad(第4世代以降)iPad mini 2以降、iOS 10.3以降
●Classroomのインターフェイス
児童・生徒一覧の確認
教員用iPadから見た「あるクラスの児童・生徒の一覧」画面です。ここから児童・生徒全員または児童・生徒別にiPadの制御が可能です。上部に並んだアイコンは全員に対して行う操作で、下部のアイコンをタップすることで個別のiPadに対する操作ができます。
クラスルームアプリは授業中に役立つさまざまな機能を搭載しています。クラスやグループごとに児童・生徒を管理登録できるほか、「開く」機能で児童・生徒のiPadで特定のアプリを強制的に開いたり、「ナビゲート」機能を使ってWEBページを送ったり、画面のロックや消音などを実行できます。さらに、児童・生徒がiPadでどんな画面を見ているかも確認可能。iPadを使った授業をより効果的なものにできるのです。
クラスルームアプリは、そのパフォーマンスを最適化するために、クラスの児童・生徒数を60人以下にすることが推奨されていますが、近くにある最大250台のiPadデバイスにアクセス可能であるため、それらのデバイス上の児童・生徒を共有iPadを使用するように割り当てられます。
クラスルームアプリを使用するのにASMへの登録は必須ではありません。しかし、クラスや児童・生徒の設定を行うときにASMで作成した情報を利用できるため、ASMと併用するのが現実的です。
なお、クラスルームアプリでは、MDMで管理者が行うような作業のいくつかを教員が行えます。たとえばiPadにログインする際に必要なパスコードを忘れてしまった児童・生徒がいたら、その場で再発行できます。
クラスルームアプリが利用できるデバイスは限られており、共有iPadで利用する際にもストレージ容量などの制約があります。また、管理対象クラス(ASM上で作成)でのクラスルームアプリの利用には、端末が監視モードに設定されている必要があります。
●管理対象外クラスのデバイスにはアラートが表示
教員のiPadからクラス全員に対して特定のアプリを強制的に起動することが可能です。ただし、管理対象外クラスでClassroomを利用する場合、図のように児童・生徒用iPadの画面にアラートが表示され、強制的に操作を実行できません。たとえば、画面をロックする旨がダイアログで表示されたときに拒否されてしまえばロックは行えません。
●「設定」アプリで制御設定
児童・生徒用のiPadを管理対象外クラスで運用する場合、「設定」アプリから「クラスルーム」に進み、「教師に許可する操作」を常に許可しておくことで、管理対象クラスのiPadと同様にダイアログなしで操作、制御が可能です。
児童・生徒間でiPadを共用
児童・生徒一人一人にiPadを配付できないような環境で1台のiPadを共用するときに役立つのが、「シェアードiPad(Shared iPad)」です(「共有iPad」とも呼ばれます)。
通常、1台のiPadを複数人で共用するときは、前に使っていた人のデータがiPadに残ってしまい、それをほかの人が閲覧したり、削除したりできてしまいます。共有iPadでは、児童・生徒が画面上に並んだ自身のアイコンをタップしてパスコードを入力すると、まるで自分だけのiPadのように利用できます。何人で共有iPadを利用するかは個別に設定でき、制限数を超えた場合、児童・生徒のデータはiPadのローカルストレージではなく、アイクラウド上に保存されます。次にその児童・生徒が共有iPadを利用するときにアイクラウドから個人のデータが復元される仕組みです。
●タップしてログイン
アイコンをタップすると、パスコードの入力が求められます。ログインに成功すると、前回使用時に保存した個人データがiCloudから読み込まれて、授業や学習を引き続き行えます。
共有iPadとして利用している児童・生徒用のiPadには、クラス全員の名前がアイコンとともにロック画面に並びます。児童・生徒は自分のアイコンをタップして授業に参加します。
共有iPadの利用は、DEP登録した端末に限られるので注意が必要です。そのほかにも、利用できるアップル製アプリと設定が限られる、MDMおよびマネージドアップルIDが必要といった注意点があります。また、動作デバイスはiPadプロ(9.7インチおよび12,9インチ)、iPadエア2以降、iPadミニ4以降です。少なくとも32GBのストレージが必要です。
●制限されるApple製アプリ
●友達を探す/●iPhone を探す/●Game Cente/●ホーム/●ヒント/●Wallet/●iCloud Drive
●DEPが必須
共有iPadとして利用したいiPadはDEPを通じて購入する必要があります。また、MDM上で「共有デバイス(または“共有iPad”や“Shared iPad”)」を有効にしておく必要があります。
データはどこに保存されるの?
共有iPadを設定する際には、ユーザ数を指定することができます。iPad上のローカルストレージはこの値で分割され、その数のユーザに均等に割り当てられます。たとえば、デバイスが4ユーザに設定されていて、5人目のユーザがデバイスにログインした場合、最初にログインしたユーザ用のデータは削除されます。最初のユーザが同じiPadにもう一度ログインする場合は、そのユーザのデータは再度ダウンロードされます。
共有iPadは、iPadのストレージ容量によって消費されるストレージ容量が異なります。①ストレージ容量32GBのデバイスではアプリなどコンテンツ用に8GB、ユーザごとに最低1GB、②ストレージ容量64GB以上のデバイスではアプリなどのコンテンツ用に16GB、ユーザごとに最低2GBを消費します。
また、iCloudのデータに関しては(iCloudフォトライブラリおよびCloudKit対応アプリを含む)、別途macOS Serverを用いてサーバ上にキャッシュするように設定することも可能です。